イーロン・マスク氏のために働く工作員らは、数百万人の連邦職員のデータ管理を担当する機関や、国民への6兆ドルの支給金を扱うシステムなど、米国政府の幅広い省庁への前例のないアクセス権を獲得した。
トランプ第2期政権の最初の3週間、マスク氏の代表者グループ(政府効率化省(DOGE)として知られる大統領諮問委員会)は、機密情報の取り扱い許可、サイバーセキュリティの実践、マスク氏の活動の合法性について疑問があるにもかかわらず、連邦政府のトップ省庁とデータセットを管理してきた。
これが偉業か大成功かは(完全にあなたの見方次第だが)、マスク氏の企業や関係者の民間部門の従業員でほとんどが若い少数のグループ(その多くは政府での経験がない)が、何百万人ものアメリカ人と国の最も近い同盟国に関する連邦政府の最も機密性の高いデータを閲覧し、場合によっては制御できるようになった。
マスク氏のDOGEチームによるアクセスは、連邦政府が保有するデータが民間の個人グループによって侵害された事例としては最も広く知られているが、これを阻止できるものはほとんどない。
DOGEは、現在進行中の活動についてほとんど詳細を明らかにしていません。その役割はメディアに委ねられており、メディアは、疑わしいサイバーセキュリティの実践や、長年確立されたサイバーセキュリティ規範の崩壊により、機密性の高い政府データが悪意のある者にアクセスされる危険性があると報じています。
DOGEの業務の多くは監視と透明性を回避しており、サイバーセキュリティとプライバシー保護の慣行が遵守されているかどうかについて疑問が残ります。DOGEの職員が、このデータが他者にアクセスされないようにするための手順を遵守しているかどうか、あるいはアメリカ人に関する機密データを保護するために他に何らかの措置が講じられているかどうかは不明です。
これまでのところ、証拠は、セキュリティが最優先事項ではないことを示唆しています。
例えば、DOGEの職員が個人のGmailアカウントを使用して政府の電話にアクセスしたと報じられており、連邦政府の内部告発者による新たな訴訟では、DOGEが許可されていないメールサーバーを政府ネットワークに接続するよう指示したと主張されており、これは連邦プライバシー法に違反している。また、DOGEの職員は、少なくとも1つの政府機関の機密データをAIソフトウェアに入力しているとの指摘もある。
DOGE職員が悪意のある人物であるかどうかは、本質を見失っている。策略、スパイ活動、あるいは無知といった行為は、国家の機密データセットの漏洩や消失といった、同じ最善とは言えない結果をもたらす可能性がある。
今のところ、私たちがここに至った経緯を振り返ってみる価値はある。
疑わしいセキュリティクリアランス
DOGEが各省庁とその膨大な米国民のデータをいかに容易に掌握したかは、キャリア官僚や米国議員たちを驚かせ、彼らはトランプ政権に説明を求め続けている。
マスク氏が国家のデータストアを掌握しようとする動きは、サイバーセキュリティの専門家たちをひそかに警戒させている。専門家の中には、米国民の最も機密性の高いシステムやデータの安全を守るために政府でキャリアを積んできた者もいる。
DOGE職員がどの程度のセキュリティクリアランスを有しているのか、また、その暫定セキュリティクリアランスによって、制限された連邦システムへのアクセスを要求する権限が付与されるのかどうかについては、依然として疑問が残る。トランプ大統領は大統領に復帰後、政権当局者が実質的な審査をほとんど、あるいは全く行わずに、個人に「最高機密」および区分化されたセキュリティクリアランスを暫定的に付与することを許可する大統領令に署名した。これは、長年確立されてきたプロトコルから大きく逸脱している。
DOGE職員の権限をめぐる混乱は、ここ数日、連邦政府機関の複数の職員間で一時的な対立を引き起こした。AP通信によると、米国国際開発庁(USAID)では、機密情報を守るためにDOGE職員の邪魔をした高官が休職処分を受けた。その後、DOGEはUSAIDの機密施設へのアクセスに成功し、そこには諜報報告書が保管されていたとされている。
DOGEの顧問であるケイティ・ミラー氏は、Xの投稿で、DOGEが「適切なセキュリティ認可なしに」機密資料にアクセスしたことはないと述べたが、暫定的な機密認可を与えられた人数など、チームの認可の詳細は明らかにされていない。
上院情報特別委員会の上級議員数名は水曜日、DOGEとその構成員がどのような認可を受けているかについて、まだ回答を求めていると述べた。
「DOGEの下で正式に誰が雇用されているのか、DOGEはどのような権限や規制の下で運営されているのか、また、DOGEは機密資料や米国人の個人情報への一見自由なアクセスをスタッフや代表者に与える前にどのように審査・監視しているのかについて、議会や国民に一切の情報が提供されていない」と上院議員らは記している。
DOGEによる連邦政府の乗っ取り
トランプ大統領の就任とDOGE設立に関する大統領令の発令から1週間以内に、マスク氏のスタッフは様々な連邦機関への侵入を開始した。税金還付金から社会保障給付金まで、政府からの支払いを受けている数百万人のアメリカ人の個人情報が保管されている米国財務省の機密性の高い決済システムは、最初の侵入先の一つだった。
DOGE は、連邦政府職員全員の個人情報データベースを保有する政府の人事部である人事管理局や、連邦政府の職に応募した応募者に関するデータを保有する USAJOBS にもアクセスできるようになりました。
OPMの職員は、マスク氏のチームによるシステムへのアクセスについて、監視や監視の目が全くなかったと述べた。「これはサイバーセキュリティとハッキングに深刻な影響を及ぼす」と彼らはロイター通信に語った。
DOGE の活動は、一部の共和党員を含む幅広い反対を引き起こした。
上院財政委員会で最有力民主党員を務めるロン・ワイデン上院議員(オレゴン州選出、民主党)は、マスク氏の中国における広範な事業展開をめぐる利益相反を踏まえ、同氏の機密性の高い連邦決済システムへのアクセスは国家安全保障上のリスクだと指摘した。その後、有力民主党議員グループは財務省宛ての書簡で、DOGEによる機密性の高い政府データへのアクセスは「国家安全保障に回復不能な損害を与える可能性がある」と述べた。
ブルースカイへの投稿で、元共和党戦略家のスチュアート・スティーブンス氏は、財務省システムの乗っ取りを「サイバー史上最悪のデータ漏洩」と呼び、「データビジネスに携わる民間人が今やあなたの社会保障情報にアクセスできるようになった」と付け加えた。
財務省は、民主党議員への匿名の回答の中で、マスク氏のDOGEチームが財務省が保有するアメリカ国民の個人情報バンクにアクセスできることを認め、省内の機密性の高い決済システムへのアクセスを許可するという措置を擁護した。Citrixをはじめとする複数のテクノロジー企業を傘下に持つクラウド・ソフトウェア・グループのCEO、トム・クラウス氏は現在、財務省の次官補を務め、数兆ドル規模の公的資金を管理している。
DOGEはその後、教育省の複数の機密内部システムへのアクセスを取得しました。これには、奨学金を受けている数百万人の学生の個人情報を含むデータセットも含まれています。ワシントン・ポスト紙によると、DOGE職員は教育省の機密性の高い従業員データと財務データをAIシステムに入力し、支出を調査していました。DOGE職員はまた、契約、支払い、人事情報など、中小企業庁の「すべての」システムへのアクセスを要求しました。
マスク氏のチームはまた、米国保健福祉省内の支払いシステムや、メディケアとメディケイドを管理する米国機関のデータにもアクセスできると報じられている。
DOGEは、アメリカ海洋大気庁(NOAA)の人事システムにもアクセスしており、ショーン・ダフィー運輸長官の許可を受け、連邦航空局(FAA)の航空システムにもアクセスする計画だ。マスク氏はXへの投稿で、DOGEは「航空管制システムの安全性を迅速に向上させる」計画だと述べたが、具体的な内容は明らかにしなかった。
その後、DOGEは、DOGE職員の標準的な身元調査が実施されていないことに対する当局の懸念にもかかわらず、エネルギー省のITシステムへのアクセスを獲得した。また、マスク氏の職員は、連邦消費者監視機関である消費者金融保護局のデータに読み取り専用でアクセスできると報じられている。
国内および世界への影響
選挙で選ばれていない、偽りの審査を受けた民間人のグループに米国政府の内部データコアへのアクセスを許可すると、計り知れないセキュリティリスクが発生します。
問題になり得る事柄をいくつか挙げてみましょう。マルウェアを潜ませた未承認のコンピュータから政府ネットワークにアクセスすると、連邦ネットワーク上の他のデバイスが侵害され、機密情報であるかどうかに関わらず、政府の機密情報が盗まれる可能性があります。また、政府の最高レベルのセキュリティ仕様を満たしていない、あるいは最も強力なセキュリティ対策を採用していないデバイスやクラウド環境で個人情報が適切に取り扱われない場合、そのデータはさらなる侵害や漏洩のリスクにさらされます。
これらはあり得ないシナリオではなく、この種の侵害は常に発生しています。
昨年だけでも、企業従業員の個人デバイスを介した悪意あるアクセスによって、史上最大規模のデータ侵害がいくつか発生しました。従業員は、個人用コンピュータに偽造ソフトウェアをダウンロードし、多要素認証などの適切なセキュリティ保護対策を講じていなかったため、誤ってマルウェアをインストールしてしまいました。チームの認証情報やアクセス権限の侵害、あるいは機密データベースの不適切な取り扱いは、政府の機密データの回復不能な損失、盗難、または紛失につながる可能性があります。
おそらく最も問題なのは、DOGE とその活動が公衆の監視の外で運営されていることです。
政府の監督を担う役人や議員たちは、DOGEが政府内でどのようなデータにアクセスしているのか、あるいはサイバーセキュリティ対策や保護策がどのようなものなのか、あるいはそもそもどのようなものなのか、全く把握していないと報じられています。これらのシステムに保存されているデータへのアクセス保護にキャリアの大半を費やしてきた省庁の専門家たちは、政府機関での経験がほとんどない、あるいは全くない民間人が、最も機密性の高いデータセットを荒らすのを傍観することしかできません。
テクノロジーとプライバシーを専門とする弁護士キャシー・ゲリス氏は、Techdirtの記事で、マスク氏と彼のDOGEチームは、連邦政府のハッキング法(コンピュータ詐欺・濫用法)に基づき「個人的責任を負う」可能性が高いと主張している。この法律は、連邦政府のシステムへの適切な許可なしのアクセスを規定している。ゲリス氏は、最終的には裁判所がDOGEの活動を「不正アクセス」と認定し、違法と判断する必要があると述べている。
連邦レベルでの住民データ侵害に対し、米国の州政府がどう対応するかという問題もある。連邦政府はデータ侵害に関する法律を定めておらず、州民データの保護も義務付けられている。12名以上の民主党系州司法長官連合は、DOGEがアメリカ人の個人情報を含む連邦政府の機密性の高い決済システムにアクセスするのを阻止するために訴訟を起こすと表明したが、具体的な時期は明らかにしていない。
このアクセスは、米国およびその外交同盟国との関係を不安定にさせる。同盟国は、機密情報保護を目的としたサイバーセキュリティ対策の崩壊により、情報が漏洩したり、公になったり、あるいは紛失したりする可能性があると懸念し、米国政府との諜報共有を躊躇するかもしれない。
実際には、DOGE が連邦政府機関やデータセットに継続的にアクセスすることによるサイバーセキュリティへの影響は、しばらくはわからないかもしれません。
Zack Whittakerへの連絡は、SignalまたはWhatsApp(+1 646-755-8849)でお願いします。また、SecureDrop経由でTechCrunchと安全にドキュメントを共有することもできます。
2025年2月5日に初版が発行されました。
